Ransomware LockBit 3.0 là gì? Làm gì để phòng tránh nó?

Trộm cắp, tống tiền và mạo danh tràn lan trên mạng, với hàng nghìn người trở thành nạn nhân của các vụ lừa đảo và tấn công khác nhau mỗi tháng. Một trong những phương thức tấn công như vậy sử dụng loại ransomware được gọi là LockBit 3.0. Vậy ransomware này đến từ đâu, nó được sử dụng như thế nào và bạn có thể làm gì để bảo vệ mình?

LockBit 3.0 đến từ đâu?

LockBit 3.0 (còn được gọi là LockBit Black) là một dòng ransomware sinh ra từ họ ransomware LockBit. Đây là một nhóm các chương trình ransomware lần đầu tiên được phát hiện vào tháng 9 năm 2019, sau khi làn sóng tấn công đầu tiên diễn ra. Ban đầu, LockBit được gọi là "virus .abcd", nhưng tại thời điểm đó, người ta không biết rằng những người tạo ra LockBit và người dùng sẽ tiếp tục tạo ra các phiên bản mới của chương trình ransomware ban đầu.

Dòng chương trình ransomware của LockBit tự phát tán, nhưng chỉ một số nạn nhân nhất định mới bị nhắm mục tiêu - chủ yếu là những người có khả năng trả một khoản tiền chuộc lớn. Những kẻ sử dụng phần mềm tống tiền LockBit thường mua quyền truy cập Remote Desktop Protocol (RDP) trên dark web để chúng có thể truy cập thiết bị của nạn nhân từ xa và dễ dàng hơn.

Các nhà điều hành của LockBit đã nhắm mục tiêu đến nhiều tổ chức trên khắp thế giới kể từ lần sử dụng đầu tiên, bao gồm Anh, Mỹ, Ukraine và Pháp. Dòng chương trình độc hại này sử dụng mô hình Ransomware-as-a-Service (RaaS), trong đó người dùng có thể trả tiền cho các nhà khai thác để có quyền truy cập vào một loại ransomware nhất định. Điều này thường liên quan đến một số hình thức đăng ký. Đôi khi, người dùng thậm chí có thể kiểm tra số liệu thống kê để xem liệu việc sử dụng LockBit ransomware có thành công hay không.

Mãi đến năm 2021, LockBit mới trở thành một loại ransomware phổ biến, thông qua LockBit 2.0 (tiền thân của chủng ransomware hiện tại). Tại thời điểm này, các băng nhóm sử dụng ransomware này đã quyết định áp dụng mô hình tống tiền kép. Điều này liên quan đến cả mã hóa và tách lọc (hoặc chuyển) các file của nạn nhân sang một thiết bị khác. Phương pháp tấn công bổ sung này làm cho toàn bộ tình huống trở nên đáng sợ hơn đối với cá nhân hoặc tổ chức bị nhắm mục tiêu.

Loại ransomware LockBit gần đây nhất được xác định là LockBit 3.0. Vậy LockBit 3.0 hoạt động như thế nào và ngày nay nó được sử dụng ra sao?

LockBit 3.0 là gì?

Vào cuối mùa xuân năm 2022, một phiên bản mới của nhóm ransomware LockBit đã được phát hiện: LockBit 3.0. Là một chương trình ransomware, LockBit 3.0 có thể mã hóa và tách lọc tất cả các file trên thiết bị bị nhiễm, cho phép kẻ tấn công giữ dữ liệu của nạn nhân làm con tin cho đến khi trả số tiền chuộc được yêu cầu. Phần mềm ransomware này hiện đang hoạt động rầm rộ và gây ra rất nhiều lo ngại.

Quy trình của một cuộc tấn công LockBit 3.0 điển hình là:

1. LockBit 3.0 lây nhiễm vào thiết bị của nạn nhân, mã hóa file và gắn phần mở rộng của file được mã hóa là “HLjkNskOq”.

2. Khi đó, cần có khóa đối số dòng lệnh được gọi là "-pass" để thực hiện mã hóa.

3. LockBit 3.0 tạo ra nhiều luồng khác nhau để thực hiện nhiều tác vụ đồng thời, giúp việc mã hóa dữ liệu có thể được hoàn thành trong thời gian ngắn hơn.

4. LockBit 3.0 xóa một số service hoặc tính năng nhất định để làm cho quá trình mã hóa và lọc dễ dàng hơn nhiều.

5. Một API được sử dụng để chứa quyền truy cập cơ sở dữ liệu của trình quản lý kiểm soát service.

6. Hình nền máy tính của nạn nhân được thay đổi để họ biết mình đang bị tấn công.

Nếu nạn nhân không trả tiền chuộc trong khoảng thời gian cho phép, những kẻ tấn công LockBit 3.0 sau đó sẽ bán dữ liệu chúng đã đánh cắp trên dark web cho các tội phạm mạng khác. Điều này có thể là thảm họa cho cả nạn nhân và tổ chức.

Tại thời điểm viết bài, LockBit 3.0 đáng chú ý nhất là khai thác Windows Defender để triển khai Cobalt Strike. Phần mềm này cũng có thể gây ra một chuỗi lây nhiễm phần mềm độc hại trên nhiều thiết bị.

Trong quá trình này, công cụ dòng lệnh MpCmdRun.exe được khai thác để kẻ tấn công có thể giải mã và khởi chạy các cảnh báo. Điều này được thực hiện bằng cách đánh lừa hệ thống ưu tiên và load một DLL độc hại (Dynamic-Link Library).

File thực thi MpCmdRun.exe được Windows Defender sử dụng để quét phần mềm độc hại, do đó bảo vệ thiết bị khỏi các file và chương trình có hại. Cobalt Strike có thể vượt qua các biện pháp bảo mật của Windows Defender, do đó, nó đã trở nên rất hữu ích đối với những kẻ tấn công ransomware.

Kỹ thuật này còn được gọi là sideload và cho phép kẻ xấu lấy cắp dữ liệu từ các thiết bị bị nhiễm.

Làm thế nào để phòng tránh ransomware LockBit 3.0?

LockBit 3.0 là một mối quan tâm ngày càng tăng, đặc biệt là trong số các tổ chức lớn có nhiều dữ liệu có thể được mã hóa và lọc. Điều quan trọng là phải đảm bảo rằng bạn tránh được kiểu tấn công nguy hiểm này.

Để làm điều này, trước tiên bạn nên đảm bảo rằng bạn đang sử dụng mật khẩu siêu mạnh và xác thực hai yếu tố trên tất cả các tài khoản của mình. Lớp bảo mật bổ sung này có thể khiến tội phạm mạng khó tấn công bạn hơn bằng ransomware. Ví dụ, hãy xem xét các cuộc tấn công ransomware theo Remote Desktop Protocol. Trong trường hợp như vậy, kẻ tấn công sẽ quét Internet để tìm các kết nối RDP dễ bị tấn công. Vì vậy, nếu kết nối của bạn được bảo vệ bằng mật khẩu và sử dụng 2FA, bạn sẽ ít bị nhắm mục tiêu hơn nhiều.

Ngoài ra, bạn phải luôn cập nhật hệ điều hành và chương trình diệt virus trên thiết bị của mình. Cập nhật phần mềm có thể tốn thời gian và gây khó chịu, nhưng có một lý do khiến chúng tồn tại. Các bản cập nhật như vậy thường đi kèm với những bản sửa lỗi và các tính năng bảo mật bổ sung để giữ cho thiết bị và dữ liệu của bạn được bảo vệ, vì vậy đừng bỏ qua cơ hội cập nhật thiết bị.

Một biện pháp quan trọng khác cần thực hiện để tránh các cuộc tấn công ransomware là sao lưu các file. Đôi khi, những kẻ tấn công ransomware sẽ giữ lại thông tin quan trọng mà bạn cần vì nhiều lý do khác nhau, vì vậy việc có một bản sao lưu sẽ giảm thiểu mức độ thiệt hại ở một mức độ nào đó. Các bản sao ngoại tuyến, chẳng hạn như những bản sao được lưu trữ trên thẻ USB, có thể là vô giá khi dữ liệu bị đánh cắp hoặc bị xóa khỏi thiết bị của bạn.

Các biện pháp sau khi bị nhiễm ransomware

Mặc dù các đề xuất trên có thể bảo vệ bạn khỏi phần mềm tống tiền LockBit, nhưng nó vẫn có khả năng lây nhiễm. Vì vậy, nếu bạn phát hiện máy tính của mình đã bị nhiễm virus LockBit 3.0, điều quan trọng là không nên hành động một cách vội vàng. Có các bước bạn có thể thực hiện để xóa phần mềm tống tiền khỏi thiết bị của mình mà bạn nên làm theo một cách cẩn thận.

Bạn cũng nên thông báo cho nhà chức trách nếu bạn là nạn nhân của một cuộc tấn công ransomware. Điều này giúp các bên liên quan hiểu rõ hơn và giải quyết một số loại ransomware nhất định.

Không ai biết bao nhiêu lần nữa ransomware LockBit 3.0 sẽ được sử dụng để đe dọa và khai thác nạn nhân. Đây là lý do tại sao điều quan trọng là phải bảo vệ thiết bị và tài khoản của bạn theo mọi cách có thể để dữ liệu nhạy cảm của bạn luôn an toàn.